Bei einer Kontrolle zur Verarbeitung von Bestandsdaten
bei einem Telekommunikationsunternehmen wurden
mir diverse Systeme ausführlich vorgestellt. Dies betraf
jedoch nicht die SAP-Systeme, die Teil des Bestandsda‑
tensystems waren. Auf Rückfrage konnte das Unterneh‑
men keine Angaben zur Löschung von den in diesen
Systemen gespeicherten personenbezogenen Daten
machen. Im Rahmen eines weiteren Termins erklärte
der Telekommunikationsdiensteanbieter, dass eine Lö‑
schung von Daten nicht erfolge. In einem System waren
sogar noch Daten aus den 1990er Jahren gespeichert.
Bereits die fehlende Löschung der Daten entspricht
nicht den gesetzlichen Vorgaben. Hinzu kam in dem
von mir kontrollierten Fall, dass die Problematik der
konzerninternen Datenschutzabteilung zwar bereits seit
2012 bekannt war, bis zu meinem Kontrollbesuch aber
nur eine unzureichende Löschung vorgesehen worden
war. Dies hat mich dazu veranlasst, eine Beanstandung
gegenüber dem Telekommunikationsunternehmen
auszusprechen. Die Beanstandung hat zu einem deutlich
erhöhten Engagement bei den Projekten zur Datenlö‑
schung geführt. Im Dezember 2018 wurde mir mitge‑
teilt, dass die Datenlöschung planmäßig abgeschlossen
worden sei.
15.3.2 Kein Handy für Daniel Düsentrieb
Eine Neuregelung von § 111 Absatz 1 Telekommunikationsgesetz (TKG) soll sicherstellen, dass auch bei im
Voraus bezahlten Mobilfunkdiensten (Prepaid-Karten)
nur korrekte Namen in den Kundendateien eingetragen
werden. Bisher konnten zum Leidwesen der Sicherheitsbehörden bei Vertragsschluss oft auch Phantasienamen angegeben werden. Die neuen Verfahren habe
ich mir bei einem Netzbetreiber angesehen.
Eine Mobilfunk-Prepaid-Karte gibt es seit Anfang Juli
2017 nur noch nach Vorlage des Personalausweises (oder
bestimmter vergleichbarer Dokumente), wobei die Aus‑
weisnummer vom Anbieter gespeichert werden muss.
Zur Prüfung sind nur bestimmte, von der Bundesnetz‑
agentur (BNetzA) vorgegebene Verfahren zulässig. Über
die Einführung dieses problematischen Verfahrens hatte
ich bereits in meinem 26. TB (Nr. 17.2.4.2) berichtet.
Ich habe bei einem Anbieter von Prepaid-Mobilfunkleis‑
tungen zwei Kontrollen durchgeführt, um die praktische
Umsetzung der verschiedenen Verfahren zu überprüfen.
Sofern die Validierung nicht vor Ort im Elektronikhan‑
del oder einem Mobilfunkshop erfolgt, kann der Kunde
zwischen einer Identifikation per Video-Ident-Verfahren
und einer Kontrolle des Ausweises in einer Filiale eines
beauftragten Dienstleisters wählen. Diese Verfahren
werden schon länger für andere Zwecke, insbesondere
bei der Eröffnung von Bankkonten nach den Vorschrif‑
114
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
ten des Geldwäschegesetzes (GWG) durchgeführt (vgl.
hierzu auch unter Nr. 6.1.2). Wegen der speziellen Vorga‑
ben des § 111 Absatz 1 TKG erfolgte eine Anpassung der
Verfahren. Danach muss eine Kopie des Ausweises an
den Anbieter zur Prüfung übermittelt werden.
Im Rahmen der Prüfung des Verfahrens in einer Filiale
des Dienstleisters zeigten sich verschiedene Mängel.
So wurden beim Einscannen auch der Geburtsort und
der Geburtsname erfasst und an den Anbieter weiter‑
gegeben. Dies ist für das Verfahren nach § 111 Absatz 1
TKG nicht erforderlich und somit aufgrund der Pflicht
zur Datenminimierung auch nicht zulässig. Weiterhin
musste ich feststellen, dass der Dienstleister die Daten
einschließlich der Ausweiskopie im Rahmen der Auf‑
tragsverarbeitung für fünf Monate speichert. Begrün‑
det hat der Mobilfunkanbieter dies mit befürchteten
IT-Problemen und einem möglichen Datenverlust. Hier
hat der Anbieter im Rahmen meiner Kontrolle einer
Reduzierung der Speicherdauer auf sieben Tage zuge‑
stimmt. Allerdings wird von der Datenbank ein Backup
für vier Wochen gespeichert, so dass die Daten faktisch
erst nach fünf Wochen irreversibel gelöscht werden –
dies halte ich für zu lange.
Bei dem Verfahren in der Filiale sind mir noch zwei
weitere Probleme aufgefallen. § 20 Absatz 2 Personalaus‑
weisgesetz und die Amtsblattverfügung der BNetzA for‑
dern eine Kenntlichmachung des Scans als Kopie. Diese
erfolgte jedoch nicht. Weiterhin gab es keine Möglich‑
keit, irrelevante Daten auf dem Ausweis zu schwärzen.
Der Mitarbeiter in der besuchten Filiale erklärte hierzu,
dass die Identifikation in diesem Fall sogar abgebrochen
werde und der Kunde damit seine erworbene Pre‑
paid-Karte vorerst nicht nutzen könne.
Im Video-Ident-Verfahren, bei dem der Kunde seinen
Ausweis vor eine Webcam hält, werden zwar auch die
nicht erforderlichen Daten zunächst erfasst, allerdings
werden diese vor einer Versendung an den späteren
Anbieter geschwärzt. Die Sicherheit des Video-Ident-Ver‑
fahrens gegen aufwändigere Angriffe wurde hier nicht
betrachtet. Ich möchte dazu auf Nr. 15.2.1 in diesem
Bericht verweisen. Bei der genannten Kontrolle fiel
außerdem noch auf, dass der eingesetzte Dienstleister
recht unauffällig die Identifikation des Prepaid-Kun‑
den nutzt, um die Kunden auch noch für ein eigenes
Validierungsverfahren zu gewinnen, mit dem man sich
für weitere Angebote authentifizieren kann. Da die
Information darüber leicht zu übersehen ist und der
Kunde deshalb keine wirkliche Wahl hat, ob seine Daten
für die Kundengewinnung des Dienstleisters verwendet
werden, was formal als zweckändernde Verarbeitung in
eigener Verantwortlichkeit zu werten ist, dürfte es sich
nicht um eine wirksame Einwilligung handeln. Ich habe
den Anbieter aufgefordert, das Verfahren zu ändern, so